YeoPEVA
Defcon-2018 Desktop - Expert 본문
Defcon-2018
Desktop - Expert
- File info :
- md5 / sha :
(문제 풀이)
Expert 1
악성코드 호스팅 | IP 및 포트 +
다운로드 흔적 측에, out.hta라는 이상한 파일이 눈에 보였습니다.
그래서, 다운로드 → 다운로드 경로 측에 저장됬을꺼라 생각하고 FTK로 접근하여,
추출하여 확인해본 결과, base64로 인코딩 된, 파워쉘 페이로드를 찾을 수 있었고,
해당 페이로드를 디코딩 한 결과, 아래와 같이 IP 주소 및 포트를 체크할 수 있었습니다.
142.93.50.86:80
Expert 2
위에서 찾았던, out.hta가 공격자가 실행한 파일이라 할 수 있습니다.
Expert 3
해당 코드를 확인해보면.. 파워쉘 | base64 와 같이 일부 키워드 및 익스플로잇에 대한 코드를 기반으로 구글링을 진행해본 결과,
empire라는 것과 유사하다는 것을 알게 되었고,
실제로 인증한 결과, 정답이였습니다.
'#Forensic > 시나리오-문제-풀이' 카테고리의 다른 글
| CCE-2017 시나리오 문제 (0) | 2020.05.17 |
|---|---|
| Defcon DFIR 2018, 2019 후기 (0) | 2020.05.17 |
| Defcon-2018 Desktop - Advanced (0) | 2020.05.17 |
| Defcon-2018 Desktop - Basic (0) | 2020.05.17 |
| Defcon-2018 | HR Server - Expert (0) | 2020.05.16 |
'#Forensic/시나리오-문제-풀이' Related Articles
more
